T1207
Rogue Domain Controller
Rogue Domain Controllerتوضیحات
مهاجمان یک Domain Controller جعلی ایجاد میکنند تا replicationهای مخرب را به DCهای قانونی ارسال کنند. با استفاده از DCShadow، مهاجمان میتوانند اشیاء Active Directory را بدون ثبت در لاگهای معمول تغییر دهند.
روشهای شناسایی
نظارت بر replicationهای AD از منابع غیرمجاز. بررسی DCهای جدید در محیط. شناسایی استفاده از DCShadow. تحلیل لاگهای replication.
روشهای مقابله
نظارت بر replicationهای AD. محدود کردن دسترسی به DC. استفاده از Privileged Access Management. بررسی منظم DCهای موجود. پیادهسازی MFA.